WordPress DSGVO konform einsetzen

31.8.2018 - Am 25. Mai 2018 trat die europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Sie legt EU-weit einheitliche Regeln im Umgang mit personenbezogenen Daten fest, löst nationale Gesetzgebungen ab und soll innerhalb Europas sowohl den Datenschutz sicherstellen als auch den freien Datenverkehr erleichtern – zumindest in der Theorie.

Für welche Webseiten gilt die DSGVO überhaupt?

Grundsätzlich gilt die DSGVO für alle nicht privaten Webseiten, also für Vereine und NGOs, Blogger und Selbstständige ebenso wie für kleine und mittlere Unternehmen und Großbetriebe, die sich an ein europäisches Publikum richten. Der geografische Standort von Server und Unternehmen spielt keine Rolle.

Ausgenommen sind lediglich private Webseiten. Diese können zwar öffentlich zugänglich sein, dürfen aber keinerlei Werbung enthalten und keine kommerzielle Absicht des Betreibers erkennen lassen. Letzteres jedoch ist ein Kriterium, das nur ein verschwindend kleiner Teil der deutschsprachigen Bloglandschaft erfüllt, zumal ein einziges Banner oder ein Testbericht bereits für die Klassifizierung als kommerzielles Onlineangebot ausreicht.

Während die Betreiber selbst gehosteter WordPress-Websites zumindest die technischen Möglichkeiten haben, die Vorgaben der DSGVO entsprechend zu implementieren, stellt sich die Situation bei Hosting-Plattformen wie Blogger.com oder WordPress.com um einiges komplizierter dar: Die Nutzer dieser Gratisangebote sind auf die Umsetzung durch den jeweiligen Plattformbetreiber angewiesen.

Informieren Sie sich bei heise.de

EU-Datenschützer: Domainregistrierung und DSGVO immer noch nicht vereinbar

11.7.2018 - Der Europäische Datenschutzausschuss wirft der ICANN vor, die DSGVO noch nicht ganz verstanden zu haben und fordert Nachbesserung.

Der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) ist noch immer nicht zufrieden mit der Zweckbestimmung für die Sammlung von Domaininhaberdaten. Das haben die Datenschützer der Internet Corporation for Assigned Names and Numbers (ICANN) in einem neuen Brief mitgeteilt. In ihrer Satzung vermische die private Netzverwaltung den Zweck der eigenen Datenerhebung mit durchaus berechtigten Interessen Dritter, warnen die europäischen Datenschützer.

Praktisch um fünf vor zwölf – am 17. Mai 2018 – hatte die ICANN eine Interimsregelung für die Publikation privater Domaininhaberdaten veröffentlicht. Der Umfang und die Dauer der Datenspeicherung sowie die Verwendung der über Domaininhaber in den Whois-Datenbanken gesammelten Daten sind seit Jahren umstritten. Die DSGVO brachte die ICANN in Zugzwang.

Weitere Informationen zu dieser Auseinandersetzung finden Sie bei heise.de

Mehr Datenschutz: DNS-Anfragen verschlüsseln oder verpacken?

10.7.2018 - DNS-Anfragen lassen sich leicht auslesen, nun versprechen DoH und DoT mehr Sicherheit.

Seit Jahren ist bekannt, dass das Domain Name System (DNS) unsicher ist – Staat und Angreifer können Anfragen des Nutzers einfach überwachen und blockieren. Zwei Standards versuchen nun, dem in die Tage gekommenen DNS mehr Sicherheit zu spendieren: DoT und DoH.

Lesen Sie weiter bei heise.de

Akute Gefahr für Überwachungs-Software Nagios XI

4.7.2018 - Ein MetaSploit-Modul nutzt mehrere Schwachstellen in Nagios XI so geschickt aus, dass ein Angreifer den Monitoring-Server übernehmen kann.

Bereits im April veröffentlichten Sicherheitsforscher eine Serie von Sicherheitslücken der Monitoring-Software. Durch deren geschickte Kombination kann ein Angreifer Root-Rechte auf dem Nagios-Server erlangen.

Betroffen sind laut Hersteller die Versionen Nagios XI 5.2.x bis 5.4.x; er empfiehlt ein Upgrade auf mindestens Version 5.4.13, in der die Fehler behoben sind. Die öffentlich verfügbaren Exploits nutzen folgende Fehler aus:

  • CVE-2018-8734 - SQL Injection
  • CVE-2018-8733 - Authentication Bypass
  • CVE-2018-8735 - Command Injection
  • CVE-2018-8736 - Privilege Escalation

Weiterführende Informationen finden Sie u.a. bei heise.de

Spectre V1: Nur Firefox behebt Spectre Lücken ausreichend

2.7.2018 - Beim Patchen der Spectre V1 Lücken, verhindern Chrome, Edge und Safari den Angriff nicht vollständig. Lediglich Firefox ist im Moment sicher.

Wer im Moment sicher surfen möchte, sollte sich eines Firefox Browsers bedienen. Weitere Informationen bei Heise.